NIST 800-55 信息技术系统的安全指南 2015－7.docVIP

NIST Special Publication 800-55 信息技术系统的安全指南 2003 7 目录 1. 引言 1 2.任务和责任 5 3.信息安全度量背景 9 4. 度量发展和执行过程 15 附录A: 安全度量的实例 29 引言 测量信息技术安全性能的要求是由调整的、金融的以及组织的要求提出的。许多现存的法律、规则、章程都通常引用IT的性能度量，尤其是作为一种要求的信息技术安全性能测量。这些法规包括Clinger-Cohen Act, Government Performance，Results Act (GPRA), Government Paperwork Elimination Act(GPEA),和Federal Information Security Management Act (FISMA)。 本文件是信息技术系统级别度量的发展、选择和执行的一个向导，该度量用于测量信息安全控制和技术的性能1。信息技术度量通过收集、分析和报告相关的性能数据，从而推动制定决策、改进性能和责任。本文件阐述了一个组织如何通过使用度量来鉴别一个安全控制、政策和程序是否合适。它提供了一种方法帮助决策将额外的安全保护资源投放到何处以及评价和鉴别非生产的控制。它揭示了度量的发展和执行的程序，以及怎样用于充分地评价安全控制的投入。有效的信息技术安全度量提供有用的数据来指导信息安全资源的配置，也可以简化相关性能报告的准备。该项目的成功执行可以帮助代理满足Office of Management and Budget (OMB)每年报告信息安全项目现况的要求。 历史 度量信息安全控制和技术的方法已经很多年显影不足了。本文基于以往的努力，提出了一种将National Institute ofStandards and Technology (NIST) Special Publication (SP) 800-26, Security Self-AssessmentGuide for Information Technology Systems中的安全控制目标和技术结合进来的方法。 关于系统和项目的安全控制目标和技术每年都会向OMB回顾和报告，以保持和包含了FISMA的Electronic Government Act of 2002的一致性。该法案要求部门和代理保证满足可应用的安全要求，以及根据每年的项目回顾证明其真实的性能水平。 2002年5月21日，NIST Federal Computer Security Program Managers’ Forum发 1.“系统”一次是一个汇集性的术语，可以表示(OMB) Circular A-130, Appendix III.中定义的Major Applications (MA) 和General Support Systems (GSS)。 起两个信息安全度量以帮助联邦职员起草OMB财政年度2002GovernmentInformation Security Reform Act (GISRA)的报告。GISRA,是Public Law 106 398, Floyd D. Spence National Defense Authorization Act for Fiscal Year 2001的一部分，被FISMA 在 2002年12月所替代。大约75个联邦政府职员参加了该项目，在这里他们研究如何发展基于NIST SP 800-26的信息安全度量。该文件，NIST SP 800-55,包含了该项目的进程，包括由突破小组提出的最初度量；扩展了该项目小组提出的主题；并且提出了度量的示例以及使用度量的执行指导。 1.2 安全项目综述 一个组织的安全度量应该包括4个相互关联的因素（见图1-1）。 一个强壮的高水准的管理支持的基础是急需的，不仅仅为了安全项目的成功，同时也是为了安全度量项目的执行。这种支持将焦点放在了组织中最高级别的安全上。如果没有一个坚固的基础（例如，给那些控制IT 资源人员的前摄支持），这个安全度量项目的有效性将会在政治和预算的限制下失败。 一个有效的安全度量项目的第二个因素是由权威支持的实用的安全政策和程序以保证其权威性。实用的安全政策和程序应当是力所能及的并且通过适当的控制可以提供强大的安全。如果没有合适的程序，度量是很难做到的。 第三，为了获得和提供有意义的性能数据，需要建立可计量的性能度量。而且，要提供有意义的数据，可计量的安全度量必须以信息安全性能为目标，同时也需要具有可行性，能够容易做到。它应该是可重复的，能够提供性能的走势，而且，能够跟踪性能和指引资源配置。 最后，安全度量项目必须强调对测